Aplicação do algoritmo de clusterização de fluxos contínuos de dados denstream na detecção de ataques em internet das coisas

A Internet das Coisas (Internet of Things - IoT) pode ser definida como a convergência da Internet e objetos que podem se comunicar e interagir entre si. Para os próximos anos, aplicações de IoT devem se expandir e crescer exponencialmente. Diversas áreas como logística, indústria, saúde pública, au...

Descripción completa

Detalles Bibliográficos
Autor: Tazima, Gabriel Keith
Tipo de recurso: tesis de maestría
Estado:Versión publicada
Fecha de publicación:2024
País:Brasil
Institución:Universidade Estadual de Londrina (UEL)
Repositorio:Repositório Institucional da UEL
Idioma:portugués
OAI Identifier:oai:repositorio.uel.br:123456789/17840
Acceso en línea:https://repositorio.uel.br/handle/123456789/17840
Access Level:acceso abierto
Palabra clave:Internet das Coisas
Aprendizado de Ćuxos contínuos de dados
Aprendizado Não-supervisionado
Detecção de Ataques
DenStream
Algoritmos
Logística
Automação residencial
Saúde pública
Ciências Exatas e da Terra - Ciência da Computação
Internet of Things
Stream Learning
Unsupervised Algorithm
Attack Detection
Algorithms
Logistics
Home automation
Public health
Descripción
Sumario:A Internet das Coisas (Internet of Things - IoT) pode ser definida como a convergência da Internet e objetos que podem se comunicar e interagir entre si. Para os próximos anos, aplicações de IoT devem se expandir e crescer exponencialmente. Diversas áreas como logística, indústria, saúde pública, automação residencial e monitoramento ambiental se beneficiarão deste novo paradigma. A IoT tem o potencial de prover facilidades e melhorias na vida cotidiana. Com a aproximação entre essas aplicações e os usuários finais, atividades que antes estavam imunes a ataques cibernéticos, podem estar ameaçadas por ações maliciosas. Dispositivos domésticos de IoT podem se tornar alvos de ataques e potencialmente ameaçar a segurança e a privacidade de indivíduos. Diferente de redes de Internet das Coisas industriais, por exemplo, em cenários residenciais, os dispositivos utilizados são mais heterogêneos e, normalmente, tem menor custo e capacidade computacional. Além disso, eles contam com aplicações que muitas vezes são descentralizadas e desenvolvidas de forma diferente pelos diversos fabricantes envolvidos. Uma das possibilidades de medidas de defesa é o provisionamento de um Sistema de Detecção de Intrusão (Intrusion Detection System - IDS), que seria capaz de detectar atividades maliciosas e gerar registros das mesmas. Há outros trabalhos que fazem detecção de ataques utilizando aprendizado de máquina, mas a maioria das soluções utiliza técnicas de aprendizado supervisionado por lotes e precisam de amostras normais e maliciosas para serem treinados, o que pode ser problemático em cenários de redes reais. A utilização de algoritmos de clusterização de fluxos de dados contínuos pode oferecer uma solução para os dois problemas mencionados. Esses algoritmos não exigem amostras de tráfego benigno e malicioso para serem treinados e também são capazes de aprender incrementalmente. Por outro lado, o grande desafio na utilização deles é compreender melhor o que devemos monitorar no comportamento dos clusters para identificar a ocorrência de ataques. Este trabalho analisou diferentes indicadores extraídos do comportamento dos clusters gerados pelo DenStream, um algoritmo de clusterização de fluxos contínuos de dados baseado em densidade, para compreender como eles podem contribuir na detecção da ocorrência de ataques no tráfego de rede. O conjunto de dados públicos utilizado neste trabalho conta com pacotes de tráfego normal e malicioso de diversos dispositivos com diferentes protocolos de rede. Os ataques contidos no conjunto de dados são: Port Scanning, Negação de serviço e man-in-the-middle. Os resultados dos experimentos mostraram que o monitoramento da distância máxima entre os centros dos clusters pode sinalizar a ocorrência de diferentes tipos de ataques